也就是抓取的是我们电脑的网卡进出的流量
2.集线器环境流量防洪,同一冲突域(网络域)物理层
3.交换机环境也就是数据链路层(MAC地址表),如图所示,在这个环境中获取数据包的方式有一下几种:3.1 端口镜像(SPAN)利用SPAN技术我们可以把交换机上某些想要被监控端口(以下简称受控端口)的数据流COPY或MIRROR一 份,发送给连接在监控端口上的流量分析仪
3.2 ARP欺骗
针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线
3.3 MAC泛洪交换机中存在着一张记录着MAC地址的表,为了完成数据的快速转发,该表具有自动学习机制;泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机,充满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息。
二、底层原理看图所示:
【文章福利】:
三、过滤器1、抓包过滤器
也叫捕捉过滤器,设置步骤为:选择 capture -> options。填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。点击开始(Start)进行捕捉。
Protocol(协议): 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。
Direction(方向): 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地,则默认使用 “src or dst” 作为关键字。 例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。
Host(s): 可能的值: net, port, host, portrange. 如果没有指定此值,则默认使用"host"关键字。 例如,"src 10.1.1.1"与"src host 10.1.1.1"相同。
Logical Operations(逻辑运算): 可能的值:not, and, or. 否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。 例如, “not tcp port 3128 and tcp port 23"与”(not tcp port 3128) and tcp port 23"相同。 "not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。
注意事项:
当使用关键字作为值时,需使用反斜杠“\”。
"ether proto \ip" (与关键字"ip"相同).
这样写将会以IP协议作为目标。
"ip proto \icmp" (与关键字"icmp"相同).
这样写将会以ping工具常用的icmp作为目标。
可以在"ip"或"ether"后面使用"multicast"及"broadcast"关键字。
当您想排除广播请求时,"no broadcast"就会非常有用。
2、显示过滤器显示过滤器是在原来或者现在抓包的基础上,过滤掉其他的包,找到自己需要的数据报包。 如图所示:四、功能1.数据包追踪 Follow TCP Stream其实到这,作为程序员来说,用wireshark来抓包就已经够用了,而且我们一般也就是这些功能会使用的多,剩下的功能我只做一个简单的介绍,以便后续需要的时候,可以尽快的找到相应的功能模块。
五、功能介绍
1.专家信息(Analyze–>Expert Info)
可以看到: 1.对话: 关于正常通信的基本信息
2.注意:正常通信时的异常数据包
3.警告:不是正常通信中的异常数据包(个人理解为:非正常的通信产生的数据包)
4.错误:数据包中的错误,或者解析器解析时的错误
2.汇总信息(Statistics–>Summary)
摘要说明,也相当与是信息汇总
3.协议层分析
4、网络节点统计
5.数据包长度统计
6.图表分析
等等。。。
剩余这些功能我们可能一般用的不是很多,主要掌握跟踪数据流之前基本就可以了。
